計算機三級網(wǎng)絡技術學習筆記

up在2020年疫情在家的時候看b站網(wǎng)課記的筆記，后來因為日程原因沒有參加考試，把筆記分享出來，供大家參考和自己溫習知識。

按照考綱來的，看官方參考書和一些網(wǎng)課都適用。歡迎點贊、投幣、收藏

加粗的詞句屬于需要重點看的地方。

綜合題專項講解

考點1：IP地址基礎（10分）

考點2：路由器配置（路由比交換機考的概率大得多）

考點3：Cisco IOS 交換機配置

考點4：DHCP報文分析（10分）

考點5 Sniffer 抓包分析（10分）

考點1 IP地址基礎（P56-58）

命令形式與考核方式：

? ? ? 給定IP地址與其子網(wǎng)掩碼，求出地址類別、網(wǎng)絡地址、直接廣播地址、主機號、“子網(wǎng)內的第一個可用IP地址”或子網(wǎng)內的最后一個可用IP地址。

題型：

一、IP地址的類別

? ? ? ?

? ? ? ?IPv4的地址長度為32 bit，用點分十進制（dotted decimal）表示。通常采用x.x.x.x的方式來表示，每個x為8 bit，每個x的值為0~255,例如，202.113.29.119。

IP地址的指派范圍：

A類1-126

B類128.1-191.255

C類192.0.1-223.255.255

1. A類地址

A類地址網(wǎng)格號（net ID）的第一位為0，其余的各位可以分配。因此A類地址共被分為大小相同的128塊,每一塊的net ID不同。

第一塊覆蓋的地址為：0.0.0.0~0.255.255.255(net ID=0)

第二塊覆蓋的地址為：1.0.0.0~0.255.255.255(net ID=1)

……

最后一塊覆蓋的地址為：127.0.0.0~0.255.255.255(net ID=127)

? ? ? 但是，第一塊和最后一塊地址留作特殊用途，另外net ID=10的10.0.0.0~10.255.255.255用于專用地址，其余的125塊可指派給一些機構。因此能夠得到A類地址的機構只有125個。每一個A類網(wǎng)絡可以分配的主機號host ID可以是224-2=16777214個，主機號為全0和全1的兩個地址保留用于特殊目的。

2. B類地址

? ? ? B類地址的網(wǎng)絡號長度為14位，網(wǎng)絡號總數(shù)為16384。B類地址的主機號長度為為16位，因此每個B類網(wǎng)絡可以有216=65536個主機號。但是，主機號為全0和全1的兩個地址保留用于特殊目的，因此實際上一個B類IP地址允許分配的主機號位65534個。

二、直接廣播地址 （網(wǎng)絡為不變，主機號為1）

? ? ? 在A類、B類、C類IP地址中，如果主機號是全1，那么這個主機號為直接廣播地址，它是用來使路由器將一個分組以廣播方式發(fā)送給特定網(wǎng)絡上的所有主機。例如，主機要以廣播方式發(fā)送一個分組給特定網(wǎng)絡（網(wǎng)絡地址為201.161.20.0）上的所有主機，那么需要使用直接廣播地址，這個直接廣播地址為201.161.20.255。

三、受限廣播地址(有限廣播地址) ?（一定是255.255.255.255）

? ? ?32位全為1的廣播地址（255.255.255.255）為受限廣播地址，用來將一個分組以廣播方式發(fā)送給本網(wǎng)絡中的所有主機。路由器則阻擋該分組通過，將其廣播功能限制在本網(wǎng)內部。

四、“這個網(wǎng)絡上的特定主機地址” 網(wǎng)絡位為0，主機號不變

? ? ? 當一個主機或一個路由器向本網(wǎng)絡的某個特定的主機發(fā)送一個分組，那么它就需要使用“這個網(wǎng)絡上的特定主機”地址?！斑@個網(wǎng)絡上的特定主機”的網(wǎng)絡號位全0，主機號為確定的值。這樣的分組被限定在本網(wǎng)內部，由主機號對應的主機接收。例如，主機要向本網(wǎng)絡中的某個主機（IP地址為201.161.20.18）發(fā)送一個分組，那么需要使用“這個網(wǎng)絡上是特定主機地址”，這個地址為0.0.0.18。

五、計算網(wǎng)絡地址 (網(wǎng)絡位不變，主機號為1)

? ? ? 網(wǎng)絡地址用來表示某一個IP所屬的網(wǎng)絡號，表示的方式為網(wǎng)絡位不變，主機位置“0”。計算時可以用IP地址與及子網(wǎng)掩碼進行“與”運算得到。

六、計算“子網(wǎng)內的最后一個/第一個可用IP地址”

? ? ? 首先可以計算IP地址所屬子網(wǎng)的可用地址范圍，其中第個個可用IP地址為最小的一個可用IP地址；最后一個可用IP也就是最大的一個可用IP地址。

? ? ? 計算時，第一個可用IP地址可以直接用網(wǎng)絡地址+1得到；

? 最后一個可用IP地址，可以先計算本子網(wǎng)的直接廣播地址，然后用直接廣播地址-1，得到。

考點1 歷年真題

2008年4月

一、判斷地址類別

根據(jù)給定的IP地址：126.150.28.57。

方法1：因為IP地址的第一段126屬于0~127之間，直接判定此IP地址為A類地址。

方法2：將IP地址轉換成二進制，根據(jù)前導碼判斷地址類別。

126.150.28.57->01111110 10010110 00011100 00111001

根據(jù)前導碼“01”判斷IP地址為A類地址。

二、計算網(wǎng)絡地址

根據(jù)子網(wǎng)掩碼已知IP：126.150.28.57 子網(wǎng)掩碼：255.240.0.0

1. 將IP地址與子網(wǎng)掩碼分別轉換成二進制，進行“與”操作

126.150.28.57->01111110 10010110 00011100 00111001

255.240.0.0 ? ?->11111111 11110000 00000000 00000000

與運算結果 ? ? ?->01111110 10010000 00000000 00000000

點分十進制 ? ->126.144.0.0

三、計算廣播地址

1. 將IP地址轉換成二進制

126.150.28.57->01111110 10010110 00011100 00111001

2. 根據(jù)子網(wǎng)掩碼255.240.0.0，求出網(wǎng)絡號與主機號

255.240.0.0 ?->11111111 11110000 00000000 00000000

3.網(wǎng)絡位不變，主機位全置“1”

主機位置“1”->01111110 10011111 11111111 11111111

十進制表示 ? ->126.159.255.255

四、受限廣播地址

255.255.255.255

五、求“子網(wǎng)內的第一個可用IP地址”

方法1：求出子網(wǎng)126.144.0.0/18的可用地址范圍

126.144.0.0 ? ? ?->01111110 10010000 00000000 00000000

最小的IP地址： ? ->01111110 10010000 00000000 00000001

最大的IP地址： ? ->01111110 10011111 11111111 11111111

其中最小的IP地址轉換成十進制為：126.144.0.1

方法2：根據(jù)前面計算的網(wǎng)絡地址126.144.0.0加“1”得到：

126.144.0.1

答案

考點2 路由器配置（第7章）

命令形式與考核方式：

給定網(wǎng)絡拓撲圖，按需求完成路由器的相關命令配置，以填空方式補全為完整的命令。

? ? ? ?

? ? ? ?題型：2. ?如圖所示，某園區(qū)網(wǎng)用2.5Gbps的POS技術與Internet相連，POS接口的幀格式是SONET。路由協(xié)議的選擇方案是，園區(qū)網(wǎng)內部采用OSPF協(xié)議，園區(qū)網(wǎng)與Internet的連接使用靜態(tài)路由。

? ? ? 請閱讀以下R1和R3的部分配置信息，并補充【6】~【10】空白處的配置命令或參數(shù)，按題目要求完成路由器的配置。

R1 缺省路由的配置信息

Router-R1 #configure terminal

Router-R1(config)#

Router-R1(config)# ip route 0.0.0.0 ? ? 【6】 ?

Router-R1(config)# exit

Router-R1 #

R3的POS接口和OSPF協(xié)議的配置信息

Router-R3 # configure terminal

Router-R3 (config) #

Router-R3(config) # interface pos3/0

Router-R3(config-if) # description To Internet

Router-R3(config-if) # bandwidth 2500000

Router-R3(config-if) # ip address 221.195.178.1 255.255.255.252

Router-R3(config-if) # crc 32

Router-R3(config-if) # pos ? ?【7】 ? ?

Router-R3(config-if) # no ip directed-broadcast

Router-R3(config-if) # pos flag ? ? 【8】 ?

Router-R3(config-if) # no shutdown

Router-R3(config-if) # exit

Router-R3(config)# router ospf 65

Router-R3(config-router)# network 211.100.66.0 ? ? 【9】 ? area 0

Router-R3(config-router)# redistribute connected metric-type 1 subnets

Router-R3(config-router)# area 0 range 211.100.66.0 ? ? 【10】 ? ?

Router-R3(config-router)# exit

Router-R3(config)#

知識點1：靜態(tài)路由配置

知識點2：默認路由配置

知識點3：POS接口配置

知識點4：廣域網(wǎng)同步串行接口配置

知識點5：動態(tài)路由協(xié)議OSPF配置

知識點6：動態(tài)路由協(xié)議RIP配置

知識點7：路由器上的DHCP配置

? ? ? ?

? ? ? ?

知識點1：靜態(tài)路由配置(P176-178)

Router（config）# ip?route?<目的網(wǎng)絡地址><子網(wǎng)掩碼><下一跳路由器的IP地址>?

如：Router（config）# ip route 59.65.96.0 255.255.240.0 222.112.37.1

例如：

R1（config）#ip route 【8】【9】203.22.76.1

【8】182.93.0.0

【9】255.255.0.0

? ? ? ?

? ? ? ?知識點2：默認路由配置(P176-178)

Router（config）# ip?route?0.0.0.0 0.0.0.0 <下一跳路由器的IP地址>?

如：Router（config）# ip route 0.0.0.0 0.0.0.0 222.112.37.1

例如：

R3（config）#ip route 0.0.0.0 0.0.0.0 【10】

【10】221.195.178.2

注意理解，什么時候用默認路由？

連接因特網(wǎng)，因為因特網(wǎng)的目的網(wǎng)絡無法確定。默認路由下一跳為上層路由接口

知識點3：POS接口配置（P174-175）

Router（config）# Interface?POS3/0?

Router（config-if）# Description?TO?BEIJING?

Router（config-if）# Bandwidth?2500000? (單位kbps，按1000)

Router（config-if）# Ip?address?212.14.37.18?255.255.255.252?

Router（config-if）# Crc?32??（可選的CRC校驗位是16和32）

Router（config-if）# Pos?framing?sdh?（可選幀格式是SDH和SONET）

Router（config-if）# No?ip?directed-broadcast?

Router（config-if）# Pos?flag?s1s0?2?

（s1s0=00表示是SONET幀數(shù)據(jù)，s1s0＝10（十進制2）表示是SDH幀）

如果前面設置格式是SONET則這里Pos?flag?s1s0 0，

如果前面設置格式是SDH則這里Pos?flag?s1s0 2

知識點4：廣域網(wǎng)同步串行接口配置(P174)

Router（config）# Interface?s1/1?

Router（config-if）# Description?TOBEIJING?

Router（config-if）# Bandwidth?2048?（帶寬為2M，按1024）注意單位為kbps

Router（config-if）# Ip?address?212.112.41.81?255.255.255.252?

Router（config-if）# Encapsulation?hdlc?（封裝HDLC或PPP協(xié)議，HDLC為缺省）

// encapsulation的拼寫,漢語“封裝”

?Router（config-if）# No?ip?directed-broadcast?

Router（config-if）# No?ip?proxy-arp?

Router（config-if）# No?shutdown?

Router（config-if）# Exit?

知識點5：OSPF配置（P180-184）

一、啟用OSPF ：

在全局模式下：router ospf <process ID>

二、在OSPF配置模式下，定義參與OSPF的子網(wǎng)地址,使用命令：

area <區(qū)域號> range <子網(wǎng)地址><子網(wǎng)掩碼>

area區(qū)域號range子網(wǎng) 正掩碼

和（有可能兩種命令都要用）

network <子網(wǎng)號> <wildcard-mask> area <區(qū)域號>

network子網(wǎng) 反掩碼area區(qū)域號

? ? ? 如果區(qū)域中的子網(wǎng)是連續(xù)的，則可使用這個子網(wǎng)聚合功能，區(qū)域邊緣路由器可以將所有連續(xù)的子網(wǎng)聚合為一條路由信息傳播給其他區(qū)域，在其他區(qū)域內的路由器看到這個區(qū)域的路由就只有一條。

注意：同區(qū)域在定義參與OSPF的子網(wǎng)地址時也可以子網(wǎng)聚合

? ? ? ?

? ? ? ?

Router-R3(config)# router ospf 65

Router-R3(config-router)# network 211.100.66.0 ? ? 【9】 ? area 0

Router-R3(config-router)# redistribute connected metric-type 1 subnets

Router-R3(config-router)# area 0 range 211.100.66.0 ? ? 【10】 ? ?

Router-R3(config-router)# exit

Router-R3(config)#

聚合后211.100.66.0/25

【9】0.0.0.127

【10】255.255.255.128

必須掌握：

1. 子網(wǎng)聚合計算方法

2. 什么時候用正掩碼，什么時候用反碼？

知識點6：動態(tài)路由協(xié)議RIP(P178-180)

Router(config)#router rip ? //沒有進程號

Router(config-router)#network 159.105.0.0

Router(config-router)#network 212.112.7.0 ? //不寫掩碼

知識點7：路由器上的DHCP配置

Router (config) # ip dhcp pool ttt

Router(dhcp-config)#network 201.23.98.0 255.255.255.0后寫掩碼或帶網(wǎng)絡前綴/24

Router(config)#ip dhcp excluded-address 201.23.98.2 201.23.98.10

//注意配置模式；開始地址與結束地址之間“空格”分開，不是“-”；

注意拼寫“excluded-address”

Router(dhcp-config)#default-router 201.23.98.1

Router(dhcp-config)#domain-name pku.edu.cn

Router(dhcp-config)#dns-server address 212.105.129.27 212.105.129.26

Router(dhcp-config)#lease 0 5 ? ?

? ? ? ? ? ? ? ? ? ? ? ? ? ? //租約的時間格式：days [hours][minutes] 天必須寫

考點2歷年真題

題型1：【2008年9月】

? ? ? ?

? ? ? ?2. ?某單位的辦公網(wǎng)和商務網(wǎng)通過路由器R1、R2、R3與Internet相連，網(wǎng)絡連接和IP地址分配如圖1所示。該單位要求通過RIP路由協(xié)議使辦公網(wǎng)和商務網(wǎng)之間能夠互相通信，并正常訪問Internet。

? ? ? 請閱讀以下R1的配置信息，并補充【6】~【10】空白處的配置命令或參數(shù).按題目要求完成R1的正確配置。

R1(config)#interface s1

R1(config-if)# ip address 202.112.41.144 255.255.255.252

R1(config-if)#bandwidth ?【2048】 ?? ? ? ? ? ? ? ? ? ?配置帶寬為2.048Mbps

R1(config-if)# 【encapsulation】 ?PPP ? ? ? ? ? ? ? ? 封裝PPP協(xié)議

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config-if)#ip route ?【0.0.0.0 ?0.0.0.0 ?202.112.41.143】 ??配置缺省路由

R1(config-if)#router rip

R1(config-router)#network ?【202.206.16.0】 ?? ? ? ? ? ? ?配置參與RIP的網(wǎng)絡

R1(config-router)#network ?【202.206.17.0】 ?? ? ? ? ? ? ?配置參與RIP的網(wǎng)絡

R1(config-router)#end

R1#write

R1#

Router>enable

Router#

Router#configure terminal

Router(config)#

Router(config)#hostname R1

R1(config)#interface f0/1

R1(config-if)#ip address 202.206.16.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#interface f0/2

R1(config-if)#ip adress 202.206.17.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#

? ? ? ?

? ? ? ?題型2：【2011年3月】

1. 如圖所示，某園區(qū)網(wǎng)用2.5Gbps的POS技術與Internet相連，POS接口的幀格式是SONET。路由協(xié)議的選擇方案是，園區(qū)網(wǎng)內部采用OSPF協(xié)議，園區(qū)網(wǎng)與Internet的連接使用靜態(tài)路由。

? ? ? 請閱讀以下R1和R3的部分配置信息，并補充【6】~【10】空白處的配置命令或參數(shù)，按題目要求完成路由器的配置。

? ? ? ?請閱讀以下R1和R3的部分配置信息，并補充【6】~【10】空白處的配置命令或參數(shù)，按題目要求完成路由器的配置。

R1 缺省路由的配置信息

Router-R1 #configure terminal

Router-R1(config)#

Router-R1(config)# ip route 0.0.0.0 ? ? 【6】 ?

Router-R1(config)# exit

Router-R1 #

R3的POS接口和OSPF協(xié)議的配置信息

Router-R3 # configure terminal

Router-R3 (config) #

Router-R3(config) # interface pos3/0

Router-R3(config-if) # description To Internet

Router-R3(config-if) # bandwidth 2500000

Router-R3(config-if) # ip address 221.195.178.1 255.255.255.252

Router-R3(config-if) # crc 32

Router-R3(config-if) # pos ? 【7】

Router-R3(config-if) # no ip directed-broadcast

Router-R3(config-if) # pos ?flag ? ? 【8】 ?

Router-R3(config-if) # no shutdown

Router-R3(config-if) # exit

Router-R3(config)# router ospf 65

Router-R3(config-router)# network 211.100.66.0 ? ? 【9】 ? area 0

Router-R3(config-router)# redistribute connected metric-type 1 subnets

Router-R3(config-router)# area 0 range 211.100.66.0 ? ? 【10】 ? ?

Router-R3(config-router)# exit

Router-R3(config)#

【6】2500000

【7】framing sonet

【8】s1s0 0

【9】0.0.0.127

【10】255.255.255.128

考點3 交換機配置（P137-146）

命令形式與考核方式：

? ? ? 給定網(wǎng)絡拓撲圖，按需求完成交換機的相關命令配置，以填空方式補全為完整的命令。（CISCO IOS）

知識點1：管理IP地址

知識點2：建立VLAN

知識點3：端口分配到VLAN

知識點4：Trunk端口設置

知識點5：允許中繼的VLAN

知識點1：管理IP地址

switch-3548(config)#int ?vlan 1 (3xxx系列交換機管理口默認都是valn 1)

switch-3548 (config-if)#ip address 10.10.10.2 255.255.255.0

switch-3548(config)#ip default-gateway 203.105.1.1

知識點2：建立VLAN

switch-3548 # vlan data ? ? ?//進入 vlan配置模式

switch-3548（vlan）# vlan 1000 name vlan1000

知識點3：端口分配到VLAN

switch-3548(config)# int f0/24 ?

switch-3548 (config-if)# switchport ?access vlan 248

知識點4：Trunk端口設置

switch-3548#(config)# interface f0/24

switch-3548#(config-if)# switchport mode trunk ? ?

switch-3548# (config-if)# switchport trunk encapsulation dot1Q

switch-3548# (config-if)# switchport trunk encapsulation isl

switch-3548# (config-if)# switchport trunk encapsulation negotiate

知識點5：允許中繼的VLAN

switch-3548#(config-if)# switchport trunk allowed vlan 10,14

switch-3548#(config-if)# switchport trunk allowed vlan 10-14

switch-3548#(config-if)# switchport trunk allowed vlan except 100-1000

? ? ? ?

? ? ? ?題型1：【2008年4月】

如圖1所示，一臺Cisco 3500系列交換機上連接2臺計算機，他們分別劃分在VLAN10(ID號為 10)和VLAN11(ID號為11)中。交換機千兆以太網(wǎng)端口(g0/1)連接一臺路由器，使2個VLAN之間能夠通信，交換機管理地址為 167.11.45.2/24，缺省路由地址為 167.11.45.1/24。

? ? ? ?請閱讀以下交換機的配置信息，并補充【6】~【10】空白處的配置命令或參數(shù)。按題目要求完成交換機的配置。(注：填寫答案時，配置語句的關鍵字要求拼寫完整)

Switch-3548>enable

Password:*********

Switch-3548#

Switch-3548#configure terminal

Switch-3548(config)#hostname Switch-lib

Switch-lib(config)#

Switch-lib(config)#interface vlan 1

Switch-lib(config-if)#no shutdown

Switch-lib(config-if)#ip address ?【6 】 ?配置交換機的管理地址

Switch-lib(config-if)#exit

Switch-lib(config)#ip default-gateway 167.11.45.1

Switch-lib(config)#vtp domain lib

Switch-lib(config)#vtp mode transparent

Switch-lib(config)#exit

Switch-lib#vlan data

Switch-lib(vlan)#vlan ?【7】 ?? ? ? ? ? ?建立VLAN10

…… ? ? ? ? ? ? ? ? ? ? ? ? 建立VLAN11(省略)

Switch-lib(vlan)#exit

Switch-lib#configure terminal

Switch-lib(config)#interface f0/1

Switch-lib(config-if)#no shutdown

Switch-lib(config-if)#switchport ?【8】 ??為端口f0/1分配VLAN

Switch-lib(config-if)#exit

Switch-lib(config)#interface f0/6

…… ? ? ? ? ? ? ? ?為端口f0/6分配VLAN(省略)

Switch-lib(config-if)#exit

Switch-lib(config)#interface g0/1

Switch-lib(config-if)#switchport ?【9】 ?? 設置VLAN trunk 模式

Switch-lib(config-if)#switchport trunk encapsulation dot1q

Switch-lib(config-if)#switchport trunk ?【10】 ?? ? 配置允許中繼的VLAN

Switch-lib(config-if)#exit

Switch-lib(config)#exit

Switch-lib#

【6】167.11.45.2 255.255.255.0

【7】10 name VLAN10

【8】access vlan 10

【9】mode trunk

【10】allowed vlan 10,11這里也可以10-11

? ? ? ?

? ? ? ?題型2：【2010年3月】

? ? ? 如圖1所示，某校園網(wǎng)使用3臺Catalyst?6500交換機構成萬兆以太網(wǎng)主干，其中交換機S1使用千兆以太網(wǎng)技術下連到學生宿舍樓一臺Catalyst?3548交換機S4，S4下連的用戶被劃分在VLAN?ID為2~5，VLAN名為jszx2~jszx5的4個VLAN中，要求S1和S4之間使用IEEE802.1Q國際標準，且在S1和S4之間只允許傳輸jszx2~jszx5的信息。?

? ? ? 請閱讀下列關于交換機S4的VLAN配置信息，并補充空白處的配置命令或參數(shù)，按題目要求完成交換機S4的相關配置。

S4-3548#vlan?data?

S4-3548(vlan)#?vlan?2?name?jszx2?

S4-3548(vlan)#?vlan?3?name?jszx3?

S4-3548(vlan)#?vlan?4?name?jszx4?

S4-3548(vlan)#?vlan?5?name?jszx5?

S4-3548(vlan)#?exit?

S4-3548#configure?terminal?

S4-3548(config)#interface【6】(進入端口配置模式)?

S4-3548(config-if)#switchport【7】(配置VLAN?trunk模式)?

S4-3548(config-if)#switchport?trunk?encapsulation【8】(封裝協(xié)議)?

S4-3548(config-if)#switchport?trunk?allowed【9】(設置可中繼的VLAN)?

S4-3548(config-if)#switchport?trunk?allowed【10】(去除不允許中繼的VLAN)?

S4-3548(config-if)#exit?

S4-3548(config)#exit?

S4-3548#

【6】G2/2

【7】mode trunk

【8】dot1q

【9】vlan 2-5

【10】vlan except 1,6-1000 注意1~1000用于以太網(wǎng)

計算機三級網(wǎng)絡技術學習筆記

up在2020年疫情在家的時候看b站網(wǎng)課記的筆記，后來因為日程原因沒有參加考試，把筆記分享出來，供大家參考和自己溫習知識。

按照考綱來的，看官方參考書和一些網(wǎng)課都適用。歡迎點贊、投幣、收藏

加粗的詞句屬于需要重點看的地方。

綜合題專項講解

考點4 DHCP報文分析

命令形式與考核方式：

　　給定一客戶機上執(zhí)行ipconfig /all、ipconfig /release、ipconfig?/renew相關DHCP操作命令或客戶機上的一段DHCP報文（sniffer抓?。?，分析報文的內容，然后填空。

本題考點有部分超出教材范圍。需要首先掌握DHCP工作過程的原理和相關報文的特征。

DHCP工作過程中消息傳輸使用UDP協(xié)議

題型：

? ? ? ?

? ? ? ?某DHCP客戶機從該DHCP服務器獲取IP地址過程中，在客戶機捕獲的報文及相關分析如圖4所示。請補充圖4中【11】到【15】的信息。

知識點1：DHCP客戶端相關命令

知識點2：DHCP工作基本流程（首次獲得TCP/IP參數(shù)過程及報文分析）

知識點3： DHCP客戶端執(zhí)行ipconfig /renew命令的過程及報文分析

知識點4：（依次執(zhí)行ipconfig /release和ipconfig /renew）的過程及報文分析。

知識點1：DHCP客戶端相關命令

? ? ? DHCP服務器動態(tài)分配給DHCP客戶的IP地址以及子網(wǎng)掩碼、缺省網(wǎng)關、域名和域名服務器的IP地址等信息。

客戶端常用的DHCP命令：ipconfig [/all | /renew | /release]

一、 ipconfig /all?查看本地連接的TCP/IP參數(shù)

二、 ipconfig /release ?釋放動態(tài)獲取的TCP/IP參數(shù)

三、 ipconfig /renew ?重新獲取TCP/IP參數(shù)

一、?ipconfig /all

Ethernet adapter 本地連接：

Connection-specific DNS Suffix ?. :

Description....................: Broadcom 440x 10/1000 Integrated Controller

Physical Address...........: 00-11-22-33-44-55 (物理地址MAC)

Dhcp Enable..................: Yes

IP Address......................: 192.168.0.1

Subnet Mask..................: 255.255.255.0

Default Gateway............: 192.168.0.100

DHCP Server.................: 192.168.0.101 （DHCP服務器地址）

DNS Server....................: 192.168.0.102

Lease Obtained..............: 2011年11月28日 8:30:05 （租約開始時間）

Lease Expires.................: 2011年11月29日 8:30:05 （租約到期時間）

在DHCP客戶機執(zhí)行 ipconfig/all獲取的部分信息。

二、 ipconfig /release

執(zhí)行此命令，客戶機釋放已獲得的配置參數(shù)。

三、 ipconfig /renew

執(zhí)行此命令，客戶機手工重新獲取TCP/IP配置參數(shù)。

知識點2：DHCP工作基本流程

? ? ? ?

? ? ? ?一、客戶端首次獲取地址的基本流程

1. DHCP客戶主機A發(fā)送一個“DHCP Discover”廣播包給DHCP服務器。由于DHCP客戶機還未配置IP地址，它只能使用廣播方式發(fā)送該消息，并且源IP地址設置為0.0.0.0。

2. DHCP服務器用一個“DHCP Offer”廣播數(shù)據(jù)包給予應答，并提供DHCP客戶所需的TCP/IP屬性的配置參數(shù)。配置參數(shù)包括：IP地址、子網(wǎng)掩碼、缺省網(wǎng)關、域名和域名服務器的IP地址。

3. 主機A會發(fā)送一個“DHCP Request”廣播包給DHCP服務器，確定與此DHCP服務器建立地址租借關系，并通告其他DHCP服務器。

4. DHCP服務器在接收到一個“DHCP request”廣播包，在正常情況下，會發(fā)送一個“DHCP ACK”的廣播包給DHCP客戶，這是一個確認相互關系的應答包。

四個都是廣播,目的地址都是255.255.255.255

【2011年9月】

3. 某公司網(wǎng)絡管理員使用DHCP服務器對公司內部主機的IP地址進行管理。在某DHCP客戶機上執(zhí)行“ip config/all”得到的部分信息如圖2所示，在該客戶機捕獲的部分報文及相關分析如圖3所示。請分析圖中的信息，補全圖3中【11】到【15】的內容。

圖2 ?在DHCP客戶機執(zhí)行 ipconfig/all獲取的部分信息

Ethernet adapter 本地連接：

Connection-specific DNS Suffix ?. :

Description....................: Broadcom 440x 10/1000 Integrated Controller

Physical Address...........: 11-22-33-44-55-66

Dhcp Enable..................: Yes

IP Address......................: 192.168.0.20

Subnet Mask..................: 255.255.255.0

Default Gateway............: 192.168.0.1

DHCP Server...................: 192.168.0.100

DNS Server......................: 192.168.0.101

Lease Obtained..............: 2011年5月18日 9:30:05

Lease Expires...................: 2011年5月26日 9:30:05

在該客戶機捕獲的部分報文及相關分析如圖3所示

編號 源IP地址 ? ? ? ?目的IP地址 ? ? ? ? ? ? ? ? 報文摘要

1 ? ?【11】 ? ? ? ? ?255.255.255.255 ? ?DHCP:Request,Type:DHCP discover (DHCP:Request代表客戶發(fā)出的,1、3,即discover或request)

2 【12】 ? ? ? ? 【13】 ? ? ? ? ? ?DHCP:Reply,Type: 【14】 ? ? (DHCP:Reply代表服務端發(fā)出的,2、4,即offer或ACK)

某個報文

DHCP:-----DHCP Header-----

DHCP:Boot record type =2(Reply) (Boot record type為 1代表客戶端請求Request，2代表服務端應答Reply)

DHCP:Hardware address Type =1 ?(10M Ethernet)

DHCP:Hardware address length =6 ?bytes

? ? DHCP:Hops =0

? ? DHCP:Transaction id =3419121F

? ? DHCP:Elapsed boot time =0 seconds

? ? DHCP:Flags =0000

? ? DHCP:0 =no broadcast

? ??DHCP:Client self-assigned address =[0.0.0.0] 當前的地址

? ? DHCP:Client address ? ? ? ? ? ? ? = 【15】?準備分配的地址

? ? DHCP:Next Server to use in bootstrap =[0.0.0.0]

? ? DHCP:Relay Agent ? ? ? ? ? ? ? ? =[0.0.0.0]

? ? DHCP:Client hardware address =112233445566

DHCP:Host name ? ? =“”

DHCP:Boot file name ? ? =“”

DHCP:Vendor Information tag ? ?=53825363

DHCP:Message Type ? ?=2

DHCP:Address renewel interval ? ?=345600(seconds)

DHCP: Address rebinding interval ? ?=604800(seconds)

DHCP: Request IP Address leased time ? ?=691200(seconds)

DHCP:Sever IP Address ? ?=[192.168.0.100]

DHCP:Submast ? ? =255.255.255.0

DHCP:gateway address ? ?=[192.168.0.1]

DHCP:Domain Name Server address =[192.168.0.101]

【11】0.0.0.0 DHCP discover源地址一定是四個零

【12】192.168.0.100 discover之后服務器回應的包offer，源地址是服務器IP,在ipconfig /all里找DHCP server地址。

【13】255.255.255.255 廣播，四個255

【14】DHCP offer discover之后服務器回應的包offer

【15】192.168.0.20 ipconfig /all里找IP Address

DHCP Message Type項：DHCP報文格式共有8種，只需掌握四種，如下：

1. DHCP?DISCOVER（01），此為Client開始DHCP過程的第一個報文。

2. DHCP OFFER（02），此為Server對DHCPDISCOVER報文的響應。

3. DHCP REQUEST（03），此報文是client開始DHCP過程中對server的DHCPOFFER報文的回應，或者是client續(xù)延IP地址租期時發(fā)出的報文。

５. DHCP?ACK（05），Server對Client的DHCPREQUEST報文的確認響應報文，Client收到此報文后，才真正獲得了IP地址和相關的配置信息。

DHCP協(xié)議的報文中主要數(shù)據(jù)格式：

1.?Boot record type：

為1時表示是Client的請求（DHCP discover或DHCP request），為2時表示是Server的應答（DHCP offer或DHCP ACK）。

2. Hardware address type：

Client 的網(wǎng)絡硬件地址類型，1表示Client 的網(wǎng)絡硬件是10MB的以太網(wǎng)類型

3.?Hardware address length：

Client 的網(wǎng)絡硬件地址長度，6表示Client 的網(wǎng)絡硬件地址長度是6bytes（即以太網(wǎng)類型的6bytes的MAC地址）。

4. HOPS：跳數(shù)，表示當前的DHCP報文經(jīng)過的DHCP RELAY（中級）的數(shù)目。

5.?Client self-assigned Ipaddress?：客戶機IP地址(當前地址)

6.?Client IP address server?? ：分配給client的IP地址（即將分配的地址）

知識點3：客戶端刷新TCP/IP參數(shù)過程及報文分析

　　使用命令ipconfig/renew，客戶端可以重新獲取TCP/IP參數(shù)。

　　首先客戶端發(fā)送DHCP?request報文，然后服務器回應DHCP?ack報文。此過程中，客戶端已有IP地址，并知道DHCP服務器的IP地址。所以兩次交互都是單播發(fā)送。

【2011年3月】

3. 某公司網(wǎng)絡管理員使用DHCP服務器對公司內部主機的IP地址進行管理。在某DHCP客戶機上連續(xù)執(zhí)行“ipconfig /all”和” ipconfig /renew”命令，執(zhí)行“ipconfig /all”得到的部分信息如圖2所示，執(zhí)行“ipconfig /renew”命令時，在客戶機捕獲的報文及相關分析如圖3所示。請分析圖中的信息，補全【11】~【15】的內容。

Ethernet adapter 本地連接：

Description……………...：Broadcom 440x 10/100 Integrated Controller

Physical Address……......：00-16-18-F1-C5-68

Dhcp Enabled…………...：Yes

IP Address…………….....：192.168.0.50

Subnet Mask………..........：255.255.255.0

Default Gateway………....：192.168.0.1

DHCP server……………..：192.168.0.100

DNS server……………….：192.168.0.100

Lease Obtained…………...：2010年11月18日 8:29:03

Lease Expires…………...：2010年11月26日 8:29:03

編號 源IP地址 ? ?目的IP地址 ?報文摘要 報文捕獲時間

1 192.168.0.50 ?【11】 ? ? ?DHCP:Request,Type:DHCP request ? ?2010-11-18 09:10:00

2 192.168.0.100【12】 ? ? ? DHCP:Reply,Type:DHCP ack ? ? 2010-11-18 09:10:00

DHCP:-----DHCP Header-----

DHCP:Boot record type =2(Reply)

DHCP:Hardware address Type =1 ?(10M Ethernet)

DHCP:Hardware address length =【13】 bytes

DHCP:Hops =0

DHCP:Transaction id =2219121F

DHCP:Elapsed boot time =0 seconds

DHCP:Flags =0000

DHCP:0 =no broadcast

? ? DHCP:Client self-assigned address =[0.0.0.0]

? ? DHCP:Client address ? ? ? ? ? ? ? =[192.168.0.50]

? ? DHCP:Next Server to use in bootstrap =[0.0.0.0]

? ? DHCP:Relay Agent ? ? ? ? ? ? ? ? =[0.0.0.0]

? ? DHCP:Client hardware address =【14】 ? （MAC地址，注意沒短橫）

? ? DHCP:Host name =“”

? ? DHCP:Boot file name =“”

? ? DHCP:Vendor Information tag =53825363

? ? DHCP:Message Type =5(DHCP Ack)

? ? DHCP:Address renewel interval =345600(seconds)

? ? DHCP: Address rebinding interval =604800(seconds)

DHCP: Request IP Address leased time=691200(seconds)

DHCP:Sever IP Address =[192.168.0.100]

DHCP:Submast =255.255.255.0

DHCP:gateway address =[192.168.0.1]

DHCP:Domain Name Server address =【15】 （DNS地址）

【11】192.168.0.100

【12】192.168.0.50

【13】6

【14】001618F1C568 （MAC地址，注意沒短橫）

【15】192.168.0.100 （DNS地址）

知識點4：客戶端重新獲取新TCP/IP參數(shù)過程及報文分析

　　客戶端依次使用命令ipconfig /release和ipconfig /renew，客戶端釋放原本已經(jīng)獲取的TCP/IP參數(shù)，然后重新獲取TCP/IP參數(shù)。此正常執(zhí)行過程中，相當于地址釋放和地址獲取的過程累加：

此過程共有5次交互：

1. DHCP request ? ? 請求釋放地址，沒有服務器的返回響應

2. DHCP Discover ?

3. DHCP Offer

4. DHCP request

5. DHCP ACK ? ? ? ? ?2~5過程與首次獲取地址相同

【2010年3月】

表1是在某DHCP客戶機執(zhí)行ipconfig/all命令后得到的部分信息。表2是在該客戶機依次執(zhí)行ipconfig/release和ipconfig/renew時捕獲的報文和第5條報文的解析信息。請分析表中的內容并補充空白處的信息。

Ethernet adapter 本地連接：

Connection-specific DNS Suffix ?. :

Description....................: Broadcom 440x 10/1000 Integrated Controller

Physical Address...........: 00-11-22-33-44-55

Dhcp Enable..................: Yes

IP Address......................: 202.102.1.30

Subnet Mask..................: 255.255.255.0

Default Gateway............: 202.102.1.1

DHCP Server.................: 202.102.1.26

Lease Obtained..............: 2009年9月8日 9:05:00

Lease Expires.................: 2009年9月16日 9:05:00

【11】202.102.1.30

【12】202.102.1.26

【13】0.0.0.0

【14】255.255.255.255

【15】DHCP ACK

編號 源IP地址 ? 目的IP地址 ? ? 報文摘要

1 ? ?【11】 ? ? ? ? ? 【12】 ? ? ?DHCP:Request,Type:DHCP request

2 ? ?【13】 ? ? ?255.255.255.255 ? DHCP:Request,Type:DHCP discover

3 ?202.102.1.26 ? ?255.255.255.255 ?DHCP:Reply,Type:DHCP offer

0.0.0.0 ? ? ? 255.255.255.255 ?DHCP:Request,Type:DHCP request

202.102.1.26 ? ? ? ?【14】 ? ? ? DHCP:Reply,Type: 【15】

DHCP:-----DHCP Header-----

DHCP:Boot record type =2(Reply)

DHCP:Hardware address Type =1 ?(10M Ethernet)

DHCP:Hardware address length =6 ?bytes

? ?DHCP:Client self-assigned address =[0.0.0.0]

? ?DHCP:Client address ? ? ? ? ? ? ? ? ? ?=[202.102.1.30]

? ?DHCP:Next Server to use in bootstrap ? ? =[0.0.0.0]

? ?DHCP:Relay Agent ? ? ? ? ? ? ? ? ? ? ?=[0.0.0.0]

? ?DHCP:Client hardware address =001122334455

? ?DHCP:Vendor Information tag =63825363

? ?DHCP:Message Type =5

? ?DHCP:Address renewel interval =345600(seconds)

? ?DHCP: Address rebinding interval =604800(seconds)

DHCP: Request IP Address leased time =691200(seconds)

DHCP:Submast =255.255.255.0

DHCP:gateway address =[202.102.1.1]

DHCP:Domain Name Server address =[202.106.46.151]?

考點5 Sniffer 抓包分析

命令形式與考核方式：

　　給定一在主機上或在園區(qū)網(wǎng)出口使用sniffer抓取的一段報文，根據(jù)報文內容以填空方式答題。抓取的報文內容主要有：客戶端的HTTP訪問的報文；FTP訪問的報文；ping/traceroute訪問的ICMP報文。

　　各種訪問報文中主要考核的知識點有：TCP的三次握手；DNS域名解析過程；E-mail服務工作原理；WWW服務工作原理；FTP服務工作原理

　　本題考點有部分超出教材范圍。有一定難度。

題型：【2008年4月】

? ? ? ?

? ? ? ?圖4是在一臺主機上用sniffer捕獲的數(shù)據(jù)包，請根據(jù)顯示的信息回答下列的問題。

該主機的IP地址是 【 ? ?】

該主機上正在瀏覽的網(wǎng)站是 【 ? 】

該主機上設置的DNS服務器的IP地址是 【 ? ?】

該主機采用HTTP協(xié)議進行通信時,使用的源端口是 【 ?】

根據(jù)圖中”No.”欄中的信息，標示TCP連接三次握手過程完成的數(shù)據(jù)包的標號是 【 ? 】

知識點1：DNS解析過程

知識點2：HTTP訪問過程

知識點3：FTP訪問過程

知識點4：E-mail訪問過程

知識點5：ICMP訪問過程

知識點6：TCP三次握手過程

知識點1：DNS解析過程

　　在網(wǎng)絡訪問的過程中，IP地址用來唯一標識網(wǎng)絡設備/主機，但是不便于記憶和書寫，通過我們可以給某些服務器設置一個域名，用戶可以通過輸入域名進行訪問，這是就需要網(wǎng)絡中的域名解析（DNS）服務器將域名?IP地址。 DNS的默認缺省端口為53。

? ? ? ?

? ? ? ?　　當DNS客戶機提出查詢請求時，首先查詢本的緩存中查找。如果沒有條件的記錄，則產(chǎn)生一個查詢請求發(fā)給本地DNS服務器。本地DNS服務器,當本地DNS服務器接到查詢后，首先在該服務器管理的區(qū)域的資源記錄中查找，如果找到該記錄，則將解析結果返回DNS客戶機。

1. 該主機的IP地址是?【16】

2. 該主機上正在瀏覽的網(wǎng)站是?【17】要看第5條的地址，并不是www.cernet.edu.cn

3. 該主機上設置的DNS服務器的IP地址是?【18】

【16】202.113.64.166

【17】www.edu.com

【18】211.81.20.200

DNS: C 表示 客戶端請求， R 表示 服務器回應

【2011年3月】

圖4是校園網(wǎng)是一臺主機在命令行模式下執(zhí)行某個命令時用Sniffer捕獲的數(shù)據(jù)包。

ftp.pku.edu.cn對應的IP地址是【16】。202.33.97.197

? ? ? ?

? ? ? ?主機202.113.64.3的功能是【19】。DNS域名解析

知識點2：HTTP訪問過程

　　客戶機訪問WWW服務器的過程中，瀏覽器與服務器之間傳送信息的的協(xié)議是HTTP傳輸層基于TCP協(xié)議，HTTP訪問報文的源端口號為隨機端口；目的端口默認為80。服務器返回的報文中IP地址與端口號與客戶機的訪問完全相反。

　　URL:www服務器中的頁面很多，通過URL（統(tǒng)一資源定位器）指定什么協(xié)議、哪臺服務器和哪個文件等。URL由三部分組成：協(xié)議類型、主機名和路徑及文件名。

　　如：http://（協(xié)議類型）netlab.nankai.edu.cn（主機名）/student/network.html（路徑和文件名）。

該URL是__?

【解】：格式：http(s)://xx.xx.xx.xx 或 ftp:// x.x.x.x …

1.具體是http://還是https://

2.觀察Summary（摘要）中： D（Destination port）目的端口 、S（Source port） 源端口

3.端口號是 80（http） ?還是443（https）

1. 該主機采用HTTP協(xié)議進行通信時,使用 的源端口是?【　80 ?】 這個報文主機是服務器，端口80

? ? ? ?

? ? ? ?

知識點3：FTP訪問過程

　　文件傳送協(xié)議（FTP）允許用戶從服務器上獲取文件副本并下載到本地計算機上，或將本地計算機上的一個文件上傳到服務器。

? ? ? ?

? ? ? ?　　FTP的傳輸層使用TCP協(xié)議，服務器端提供的端口號21用于數(shù)據(jù)連接，端口號20用于數(shù)據(jù)傳送。

【2011年3月】

圖4是校園網(wǎng)是一臺主機在命令行模式下執(zhí)行某個命令時用Sniffer捕獲的數(shù)據(jù)包。

ftp.pku.edu.cn對應的IP地址是【16】。202.33.97.197

? ? ? ?

? ? ? ?主機202.113.64.3的功能是【19】。DNS域名解析

知識點4：E-mail訪問過程

電子郵件系統(tǒng)使用的協(xié)議主要有：SMTP，用于發(fā)送電子郵件，默認的TCP端口為25；

? ? ? ?

? ? ? ?POP3，默認的TCP端口為110；IMAP4，默認的TCP端口為143。用戶訪問并讀取郵件服務器上的郵件使用POP3或IMAP4協(xié)議。

知識點5：ICMP報文的訪問過程 IP層使用的控制與差錯協(xié)議是ICMP（互聯(lián)網(wǎng)控制報文協(xié)議）。

ICMP報文是作為IP數(shù)據(jù)報的數(shù)據(jù)部分而傳輸?shù)摹?/p>

? ? ? ?

? ? ? ?ICMP協(xié)議的兩種典型應用：ping 和traceroute

ICMP報文有兩大類：差錯報告報文和查詢報文。

重點掌握：類型8（request）請求報文和0(reply) 應答報文和11（超時）超時報文?? ? ? ??? ? ? ?

? ? ? ?

一、ping程序可以測試一個給定的目的地是否可達

　　它發(fā)送一個包含ICMP回應請求(echo-request)的報文給目的地，然后等待一段很短的時間如果沒有收到應答(echo-reply)，則重新傳送請求如果重傳的請求仍沒有收到應答（或收到一個ICMP目的不可達報文），ping聲稱該遠程機器為不可達。

ICMP：Echo

ICMP：Echo reply

單個報文詳情：

ICMP:Type=8（Echo）或0（Echo reply）

二、用ICMP跟蹤路由tracert

　　路由跟蹤（tracert）工具在構造一個通往給定目的地的路徑上的所有路由器的列表時，用到了ICMP報文路由跟蹤程序簡單地發(fā)送一系列的數(shù)據(jù)報并等待每一個響應。

①在發(fā)送第一個數(shù)據(jù)報之前，將它的生存時間置為1 第一個路由器收到這一數(shù)據(jù)報會將生存時間減1 ，顯然就會丟棄這一數(shù)據(jù)報，并發(fā)回一個ICMP超時報文由于ICMP報文是通過IP數(shù)據(jù)報傳送的，因此路由跟蹤可以從中取出IP源地址，也就是去往目的地的路徑上的第一個路由器的地址。

②得到第一個路由器的地址之后，路由跟蹤會發(fā)送一個生存時間為2 的數(shù)據(jù)報第一個路由器將計時器減1 并轉發(fā)這一數(shù)據(jù)報，第二個路由器會丟棄這一數(shù)據(jù)報并發(fā)回一個超時報文類似的，一旦跟蹤路由程序收到距離為2的路由器發(fā)來的超時報文，它就發(fā)送生存時間為3 的數(shù)據(jù)報，然后是4 ，等等。

當TTL被扣到0時,最后一個經(jīng)手的路由器就會給源主機發(fā)來一個Time to live exceeded的ICMP信息。

【2011年9月】

圖4是一臺主機在命令行模式下執(zhí)行某個命令時用sniffer捕獲的數(shù)據(jù)包。請根據(jù)圖中信息回答下列問題。

（1）該主機上執(zhí)行的命令完整內容是?? 【16】 ??。ping www.bupt.edu.cn

（2）主機59.67.148.5的功能是?? 【17】 DNS域名解析 ?，其提供服務的缺省端口是?? 【18】 53 ?。

（3）圖中①處刪除了部分顯示信息，該信息應該是?? 【19】Echo ??。

（4）如果用Sniffer統(tǒng)計網(wǎng)絡流量中各種應用的分布情況，應打開的窗口是?【20】?Protocol Distribution???。

? ? ? ?

? ? ? ?

【2013年3月】

圖3是校園網(wǎng)某臺主機在命令行模式下執(zhí)行某個命令時用sniffer捕獲的數(shù)據(jù)包。請根據(jù)圖中信息回答下列問題。

（1）該主機上配置的 IP 地址網(wǎng)絡號長度最多是【16】?。

（2）圖中的①和②刪除了部分顯示信息，其中①處的信息應該是

【17】?， ②處的信息應該是【18】?。

（3）該主機上配置的域名服務器的IP 地址是【19】?。

? ? ? ?

? ? ? ??? ? ? ??? ? ? ?

? ? ? ?（4）該主機上執(zhí)行的命令是【20】?。

ICMP:Protocol=1(ICMP)

ICMP:Destination address=[目的地址ip],(目的地址域名)

常用的協(xié)議及協(xié)議號

協(xié)議號 ? ? ? ? 協(xié)議名

?1 ? ? ? ? ? ?IMCP

?6 ? ? ? ? ? ?TCP

?17 ? ? ? ? ? UDP

（16）28 ?主機137 10001001路由129 10000001在一個網(wǎng)段202.113.64.128/28所以最長掩碼255.255.255. 11110000

（17）ICMP

（18）mail.tj.edu.cn

（19）202.113.64.3

（20）tracert mail.tj.edu.cn

該主機上執(zhí)行的命令是__?

【解】：格式：?命令+網(wǎng)址

（1）若出現(xiàn)ftp，則命令為：ftp

（2）報文中有Time-To-Live（TTL）與Echo時，執(zhí)行的命令為：tracert

（3）報文中有Echo與Echo reply應答時，執(zhí)行命令為：ping

知識點6：TCP三次握手的過程

一、TCP建立過程：

【注意：

初始序號為隨機數(shù)；

確認（ACK）序號為接收到的序號+1;

一個SYN包就是僅SYN標記設為1的TCP包。第三次為一個ACK包（ACK標志位置1）】

? ? ? ?

? ? ??

• ?第一次握手：建立連接時，客戶端發(fā)送SYN包(SYN置1,seq=x)到服務器，并進入SYN_SEND狀態(tài)，等待服務器確認。SYN為同步序列編號(Synchronize Sequence Numbers)。

• 第二次握手：服務器收到syn包，必須確認客戶的SYN（使用ACK，故ACK置1，ack=x+1），同時自己也發(fā)送一個SYN包（SYN置1,seq=y），即SYN+ACK包，此時服務器進入SYN_RECV狀態(tài)；

• 第三次握手：客戶端收到服務器的SYN＋ACK包，向服務器發(fā)送確認包ACK(ACK置1，ack=y+1)，此包發(fā)送完畢，客戶端和服務器進入ESTABLISHED狀態(tài)，完成三次握手。

課外：

在TCP/IP協(xié)議中，TCP協(xié)議提供可靠的連接服務，采用三次握手建立一個連接。

（1）第一次握手：Client將標志位SYN置為1，隨機產(chǎn)生一個值seq=J，并將該數(shù)據(jù)包發(fā)送給Server，Client進入SYN_SENT狀態(tài)，等待Server確認。

（2）第二次握手：Server收到數(shù)據(jù)包后由標志位SYN=1知道Client請求建立連接，Server將標志位SYN和ACK都置為1，ack=J+1，隨機產(chǎn)生一個值seq=K，并將該數(shù)據(jù)包發(fā)送給Client以確認連接請求，Server進入SYN_RCVD狀態(tài)。

（3）第三次握手：Client收到確認后，檢查ack是否為J+1，ACK是否為1，如果正確則將標志位ACK置為1，ack=K+1，并將該數(shù)據(jù)包發(fā)送給Server，Server檢查ack是否為K+1，ACK是否為1，如果正確則連接建立成功，Client和Server進入ESTABLISHED狀態(tài)，完成三次握手，隨后Client與Server之間可以開始傳輸數(shù)據(jù)了。

需要注意的是：

? ? ? ? ?（A）不要將確認序號ACK與標志位中的ACK搞混了。問SYN或者ACK標志位寫1就完事（TCP:flags=1）

? ? ? ? ?（B）確認方Ack=發(fā)起方seq+1，兩端配對。

【2008年9月】

圖2是在一臺主機上用sniffer捕獲的數(shù)據(jù)包，其中數(shù)據(jù)包標號（NO.）為“7”的條目中“Summary”欄中的部分信息被隱去。

請根據(jù)顯示的信息回答下列的問題：

①該主機的正在訪問的www服務器的IP地址是?【16】 202.113.64.2

②根據(jù)圖中“No.”欄中標號，表示TCP連接三次握手過程開始的數(shù)據(jù)包標號是【17】5

③標號為“7”的數(shù)據(jù)包的源端口應為?【18】1101?，該數(shù)據(jù)包TCP Flag的ACK位應為?【19】1

? ? ? ?

? ? ? ?④標號為“7”的數(shù)據(jù)包“Summary”欄中被隱去的信息中包括ACK的值，這個值應為 【20】3056467585

【2011年3月】

圖4是校園網(wǎng)是一臺主機在命令行模式下執(zhí)行某個命令時用Sniffer捕獲的數(shù)據(jù)包。?? ? ? ??? ? ? ?

? ? ? ?圖中①②③處刪除了部分顯示信息，其中②和③處的信息分別是【17】SEQ?和【18】1?。

Sniffer組件及其功能

1.回放捕獲的數(shù)據(jù)包，使用Sniffer內置的：數(shù)據(jù)包生成器

2.顯示捕獲的所有數(shù)據(jù)包，使用Sniffer內置的：DNS域名解析

3. 如果想要捕獲在載荷的某個固定位置上具有某特征的數(shù)據(jù)包，那么需要使用的過濾器選項是data pattern

4. 如果用Sniffer統(tǒng)計網(wǎng)絡流量中各種應用的分布情況，應打開的窗口是Protocol Distribution。

Sniffer的網(wǎng)絡監(jiān)聽模塊提供的主要功能包括：

①Dashboard（儀表盤）：實時顯示網(wǎng)絡的數(shù)據(jù)傳輸率、寬帶利用率和出錯率，并可以提供各種統(tǒng)計數(shù)據(jù)的圖形化顯示。

②Host Table（主機圖表）:以表格或圖形方式顯示網(wǎng)絡中各節(jié)點的數(shù)據(jù)傳輸情況。

③Matrix（矩陣）：實時顯示網(wǎng)絡各節(jié)點的連接信息，并提供統(tǒng)計功能。

④Protocol Distribution（協(xié)議與分布）：統(tǒng)計網(wǎng)絡流量中各種協(xié)議和應用的分布情況，統(tǒng)計信息可以通過表格或圖形方式顯示。

⑤Application Response Time（應用響應時間）：實時監(jiān)測客戶端與服務器的應用連接響應時間。當發(fā)現(xiàn)響應超時，就會發(fā)出報警。